作者：金茂律师事务所  万波 律师  王书玥 实习生

第二节 敏感个人信息的处理规则

解读：未作修订。

从第二十九条至三十二条，设了专节对处理敏感个人信息作出更严格的限制。

该条规定了处理敏感个人信息的前置条件，并对“敏感个人信息”进行了定义，需注意本法规定的敏感个人信息范围与《个人信息安全规范》不尽相同。

解读：未作修订。

该条对处理敏感个人信息时取得个人同意的规则作出了更加严格的规定，如在某些情形下应取得“个人的单独同意”或“书面同意”。

解读：在“本法第十八条”后增加了“第一款”。

该条规定了在处理敏感个人信息时应向个人告知的事项，即除本法第十八条规定的事项外，还需向个人告知该处理行为的必要性以及对个人的影响。

解读：将“更严格”修改为“其他”。

该条为敏感个人信息处理规则的兜底条款。二审稿将“更严格”限制修改为“其他”限制，意味着法律、行政法规对处理敏感个人信息作出的所有规定都应遵守，是对敏感个人信息的处理行为进行了更为严格的限制。

第三节 国家机关处理个人信息的特别规定

解读：未作修订。

从第三十三条开始，是国家机关处理个人信息规则的专节。

该条为整个专节的总则性规定，明确了本专节的适用范围。

解读：未作修订。

该条在保障国家机关依法履行职责的同时，要求国家机关在处理个人信息时，应当依照法律、行政法规规定的权限和程序进行。

解读：未作修订。

该条规定了国家机关作为个人信息处理者的告知义务以及除外规则。

二审稿中对一审稿的第三十六条进行了删除。

一审稿的第三十六条为国家机关公开或转让个人信息的规则，原则上不得转让。二审稿对此作删除处理，意味着取消了这一限制。

解读：未作修订。

二审稿的第三十六条对应一审稿的第三十七条。该条为国家机关作为个人信息处理者的存储规则以及境外传输规则。

解读：完全新增。

该条规定了具有特定职能的组织，在履行法定职责时，应遵守本专节的规定。如此以来，不仅规范了特定组织的行为，也扩大了本专节的适用范围。

第三章 个人信息跨境提供的规则

解读：在第三项的“与境外接收方订立合同”前增加了“按照国家网信部门制定的标准合同”的限定。

从第三十八条至四十三条，为个人信息跨境提供规则的专节。

本条规定了跨境提供个人信息的前置条件。二审稿对其中的第三项条件进行了细化，要求与境外接收方订立的“合同”须为“国家网信部门制定的标准合同”，意味着该前置条件更为严格。

解读：未作修订。

该条为个人信息处理者向境外提供个人信息的“告知—同意”规则。

解读：未作修订。

该条明确关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者，确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估。在实践运用中，诸如境外收集转移境内、云端处理等，是否适用本条规定，仍需有关部门进一步明确。

解读：将“国际”改为“中华人民共和国境外”，将“行政执法协助”改为“执法机构要求”，在“个人信息”前增加“存储于中华人民共和国境内”的限定。将“应当依法申请有关主管部门批准”改为“非经中华人民共和国主管机关批准，不得提供”。删除“对向中华人民共和国境外提供个人信息”的表述，将“从其规定”改为“可以按照其规定执行”。

该条规定了出于境外特定机构的要求，向境外提供个人信息的相关规则。二审稿作出了大幅修改，将境外机构限定为“司法或执法机构”，并严格限制了提供规则，即，只有经过我国主管机构的批注才能够提供。而针对相关的国际条约和协定，也改为“可以”按照其规定执行，不再具有强制性。二审稿作出如此修改，可以看出立法者限制被动式向境外提供个人信息的意图，以限制为主，流动为辅。

解读：未作修订。

该条规定了针对境外的组织、个人违法处理个人信息，造成不良后果的处罚规则。

解读：未作修订。

该条规定了针对境外国家和地区在个人信息保护方面，对我国采取歧视性等类似措施的反制措施。

第四章 个人在个人信息处理活动中的权利

解读：未作修订。

从第四十四条到第五十条，为个人在个人信息处理活动中的权利的专节。

本条为个人享有知情权、决定权的规定。

解读：未作修订。

本条为个人享有查阅权、复制权的规定。

解读：未作修订。

本条为个人享有更正权、补充权的规定。

解读：调整了第一款的表述，将第一款第一项改为“处理目的已实现或者为实现处理目的不再必要”，并在第二项后增加“或者保存期限已届满”的规定。将第二款中“停止处理个人信息”改为“停止除存储和采取必要的安全保护措施之外的处理”。

本条为个人享有删除权的规定。二审稿在第一款中调整了表述，明确个人信息处理者“主动删除”在先，个人“有权要求删除”在后的规则。此外，二审稿还修订了个人信息处理者应当“主动删除”的情形，并在第二款中对“停止处理”的要求进行了细化，旨在更好地保护个人信息安全。

解读：未作修订。

本条为解释权的规定。个人有权要求个人信息处理者作解释说明。

解读：完全新增。

本条为死者个人信息保护的规定。为对应《民法典》中关于死者的姓名、肖像、名誉等受到侵害后的维权规则，二审稿增加相应的规定：自然人死亡的，个人在个人信息处理活动中的权利由其近亲属行使。但本条仅用“权利”一词过于泛指，并未明确是哪些权利抑或全部权利。

解读：未作修订。

本条对应一审稿的第四十九条，要求个人信息处理者应当建立个人行使权利的申请受理和处理机制。